Какой тип атаки и как с ним бороться

[зверек]

Dovg
Вы читали мое сообщение?
Пароль меняем каждый день, на компе его не храним (вручную вводим каждый раз), тотал командер снесли первым делом.

На вирус компы, имеющие доступ к ftp тоже прогнали. Несколькими антивирусами. И касперским и dr Web-ом и бесплатными прогами типа Avast. Какие-то вирусы были обнаружены и уничтожены. Но и после этого ситуация не изменилась. Видимо мы попали в 1% когда все эьи процедуры не эффективны. И дело не в воровстве паролей.

 

[kruglov]

Если у вас на сайте в скриптах дырка и пишут через скрипты, надо убедиться, что PHP вообще это может.

Также копайте насчет логов от FTP, должны быть.

 

[Nelius]

зверек
Мож вам сервак завирусовали? Сервер проверяли на бэкдоры?

 

[зверек]

"Если у вас на сайте в скриптах дырка и пишут через скрипты, надо убедиться, что PHP вообще это может."

А как это проверить?

"Также копайте насчет логов от FTP, должны быть."

Логи смотрели. Там все чисто. В смысле только наши ip.
Последний взлом был в выхи. В логах вообще пусто.

-~{}~ 29.09.08 17:40:

Nelius
А как проверить сервер?

 

[Nelius]

"Если у вас на сайте в скриптах дырка и пишут через скрипты, надо убедиться, что PHP вообще это может."
А как это проверить?

А как проверить сервер?

Это должен делать человек который обладает знаниями в этой области. Если вы спрашиваете как это сделать, то значит не обладаете, а универсального способа просто нет. Поэтому мой вам совет наймите грамотного специалиста, который Вам все проверит, или закажите комплексный аудит скриптов+сервера у компании которая оказывает услуги подобного рода.

 

[Активист]

КМС самописная?

Сто пудов, какая-нибудь Zeus (троян такой), сам ставил, вирусовал себя, экспериментировал. За деньги, его так шифруют что писец (много времени надо, что бы дождаться, когда его будут видеть антивири).

Столько нового увидел - программка в 100 кб висящая в памяти пи...ть вплоть до кодов с визуальных select на аджаксе, с кучей защит, путем - банальных скриншотов (есть такая защита на системах оплаты, широко расростронена в США), делает скриншоты на лету во время перехода по сайтам.

А сколько мне поведал о моей машине Zeus , сколько паролей нашел, что только мне не отправил.

Эту модификацию вируса KAV начал обнарживать только через 2.5 месяца, он очень широко шифровался, работал быстро, в памяти сидел не всегда.

Передают трояны на веб оболочки, а там можно все что угодно замутить, скорее всего он ворует доступы к FTP, заходит, вставляет ифрейм, а далее инфицирует других клиентов.

Этот бизнес приносит нормальное бабло - сфера продажи - ICQ номера, пароли доступа (Yandex кошельки и т.п.), FTP очень хорошо раскупают черные SEO оптимизаторы. Знакомому как-то удалось даже спи...дь доступ от Mozzila.Org =)

Перехват паролей может происходить прямо во время соединения (в одной из модификаций zeus'a видел встроенный снифер для этих целей, так что хранишь ты пароли или нет, ему пох....)
После, он моментально передавал данные на web оболочку, которая сразу же коннектилась на FTP и вставляла свой код.

Советую поставить хороший файрвол вот и все, использовать например SFTP (если есть SSH доступ).

Посомтри netstat -na на локальной машине, обычно трояны делают множественные запросы на неизвестный тебе сайт, соединения в основном идут либо на 80 либо 8080 порт.

-~{}~ 29.09.08 19:00:

Ко всему же я увидел в веб оболочке стату количества уязвимостей в браузерах (все известные браузеры), через которыt незаметно для обычных пользователй проникал этот вирус (таких уязвимостей суммарно было около 3500, рекорд был у IE6 - 1740 уязвимостей).

Через PHP хакают редко, поскольку там всегда частный случай и требует очень много времени для поиска любого рода иньекций и инклудов (если, конечно, это не общедоступная старая версия распространенной КМС) .

-~{}~ 29.09.08 19:18:

Да, еще пытались выставлять атрибуты этим файлам (куда скрипт прописывается) "только чтение". Но это не помогает. Все равно каким-то образом осуществляется взлом, атрибуты при этом меняются.

PHP как модуль апаче

Сто пудов FTP! Если PHP как модуль апаче, то он у тебя работает от имени www (или аналогичных), файлы ты заливаешь как pupkin, соотвественно при выставлянных правах только pupkin можем менять данные, www тут уже ничего не сделает На папки не забудь поставить права.

Для того, что бы узнать когда хакают - можешь воспользоваться inotify утилитами, которые будут слать инфу об изменении на e-mail и т.п.

http://www.opennet.ru/prog/mid/26.shtml
(греп по inotify)

 

[зверек]

"Сто пудов FTP! "

ну даже если предположить что пароль воруется в момент соединения с сервером, это не объясняет нашей ситуации. Поскольку взлом практически всегда происходит ночью, точнее во вне рабочее время, когда за компом никто не работает (он даже может быть выключен!!!), паролей внутри соответственно нет.
И почему тогда ftp логи молчат? Последний взлом был предположительно в воскресенье вечером, в пятницу сменили пароль на сервере и разошлись по домам. Пароль на компе не сохраняли и ни разу даже не соединялись по новому паролю с серваком. Воровать попросту нечего было. И в логах за выхи нет ни одного коннекта.

-~{}~ 29.09.08 19:37:

Да, CMS собственная. Вообще никаких готовых php-скриптов не использовали.

 

[Активист]

>Поскольку взлом практически всегда происходит ночью
Какая разница во сколько по спертому паролю зашли? Его прут во время работы твоего компа, далее СОХРАНЯЮТ (на своем уже сервере) и используют когда им удобно. А когда уж по крону (очереди) будет сам процесс изменения файлов - не так уж и важно.

>И почему тогда ftp логи молчат
А может у тебя пароль FTP совпадают с SSH и доступ осущевстляется через SFTP (scp)?

>и ни разу даже не соединялись по новому паролю с серваком
Уверен? Ты можешь быть уверен только за себя, а поскольку ты используешь фразу соединялись - то я делаю вывод что в офисе вас много туда ходит

Дам тебе пару советов.
1. Для безопасности. Сменить пароли доступа и использовать SFTP (ВСЕМ)

2. Для поиска причины.
- На локальных машинах (а лучше если есть NAT, но на нем) анализировать netstat -na
- Проанализируйте последнии входы коммандой last на сервере.
- Проанализировать открытые порты на сервере на предмет руткитов
- Проанализировать логи серверов.
- Запретить PHP выполнять различные system, exec и т.п.
- Проанализировать все cron задачи на предмет старнностей (включая, те которые в /etc/cron.daily и т.п.
- Проанализировать все работающие сервисы и выполнить из обновления.

В случае, ЕСЛИ ты все таки не сможешь найти ответ, необходимо следующее.
- Установить inotify утилиту (нужна поддержка в ядре linux), использовать можно, например, http://inotify.aiken.cz/?section=incron&page=doc&lang=en.
Настроить контроль нужных папок/файлов.
- В случае обнаружения изменений незамедлительно начать проверить пользователей на ftp (комманда last, ftptop), проанализировать соединения на SSH (комманда w). Если не поможет, то незамедлительный анализ логов apache (на предмет иньекций и инклудов), После анализа, ты сразу обнаружишь дыру или заметишь кражу паролей. Если нет, незмадлительно проверить все соединения на сетевых интерфесах на предмет соединений к руткитам (смотреть в сторону странных портов в состоянии LISTEN, коммандой netstat -na | grep LISTEN) и на предмет соединений на бекдоры (странные соединения от сервера к клиенту, использующих необычные приложения), проверить, что в данной момент работает (ps axuf), что запускалась (анализ всех логов системы).

Если ничего не поможет, пиши) поможет, тоже)

-~{}~ 29.09.08 20:03:

Да, погляди еще пользователей в /etc/sudoers и если используется панель управления сервером, не сперли ли пароли от админов/рута, а то видел людей, которые сохраняют пароли от рута в браузерах на страницах входа в пу сервером ))

Почитай о возможностях троянов http://forum.zloy.org/showthread.php?t=59722 (учесть, что инфа устарела и трояны умеют уже больше)

 

[зверек]

"Уверен? Ты можешь быть уверен только за себя, а поскольку ты используешь фразу соединялись - то я делаю вывод что в офисе вас много туда ходит"

Уверена

Доступ к ftp имеют двое. Но последние несколько дней второй человек вообще болел. На работу не ходил, сайтом не занимался, с серваком не коннектился, комп его был выключен.

Так что последний прецедент - полная загадка. и как-то вызывает сомнения, что это воровство паролей ftp.

"FTP совпадают с SSH и и доступ осущевстляется через SFTP"

Мы используем обычный FTP. SFTP не пробовали. А пароли меняем каждый день. ВОт только что сменила очередной раз. И коннектится до завтра по нему не буду. То есть в компе его нет нигде. ТОлько в личном кабинете хостера.

За советы спасибо. Правда половина слов не понятно, но будем разбираться. Выхода-то нет Сайт уже банился гуглом из-за этой дряни. Восстановила, но в любой момент может повториться. Посещаемость при этом заметно падает

 

[Активист]

Если хостер - то многое из мною сказанного будет не доступно.

Что за хостер?

Если хостер хороший и следит за серверами то 80% мною сказанного отпадает автоматически.

Анализ логов apache проводила? Напишите хостеру, пусть дадут полный список пользователей, входивших по FTP/SSH по вашей учетной записи.

 

[зверек]

Хостер 1Gb.ru
Если хороший, то что именно входит в оставшиеся 20% ?

логи ftp доступны в личном кабинете. Как я уже писала - там пусто. В предположительные моменты взлома - пусто (в частности на выходных). То есть не было коннекта по ftp. В остальные дни там только наши собственные ip адреса. Причем в моменты когда мы реально коннектились. И запросы те, что мы реально делали. Ничего подозрительного, одним словом.

Логи доступа анализировать конечно можно. Но знать бы что искать. Ибо они гигантские (посещаемость 10тыс уникальных юзеров в сутки).

-~{}~ 06.10.08 15:13:

Для того, что бы узнать когда хакают - можешь воспользоваться inotify утилитами, которые будут слать инфу об изменении на e-mail и т.п.

А как это все установить и настроить вообще? Это же не php-скрипт, который запустил и все. Это какие-то серверные штуки. Пошаговую инструкцию можно?

 

[Активист]

Без прав администратора ты этого сделать не сможешь, можно написать скрипт на PHP, который будет отслеживать размеры нужных тебе файлов и вслучае их изменения - посылать почту. Скрипт нужно будет запускать из консоль в режиме "backgrond"

 

[зверек]

а что из себя представляет режим "background"? В этом режиме мой скрипт будет постоянно запускаться? Пока я не переведу его из фонового в обычный? Или как?

 

[Dovg]

зверек
как-нибудь так

set_time_limit(0);

while (true)
{
  //do something
}

и запускать так

php ./scriptName &

 

[зверек]

Dovg Ну то есть скрипт по сути будет бесконечно работать? Пока его не остановят какой-то командой?
А это никак не скажется на какой-нибудь процессорной нагрузке?

 

[Dovg]

ну он же не постоянно будет что-то делать, а с периодичностью

http://ru.php.net/usleep

 

[зверек]

Эту периодичность обеспечивает фоновый режим? Или я должна ее заложить в скрипт?

я просто хочу понять что из себя представляет фоновый режим.

-~{}~ 07.10.08 12:39:

И как, кстати, остановить работу скрипта, работающего в фоновом режиме?

 

[Dovg]

зверек

я просто хочу понять что из себя представляет фоновый режим.

use google

И как, кстати, остановить работу скрипта, работающего в фоновом режиме?

man kill
man ps

 

[зверек]

use google

Пыталась. Везде написано как перевести прогу в фоновый режим. Но нет объяснений как она себя ведет в этом фоновом режиме..Что это вообще такое - фоновый режим. Видимо все статьи рассчитаны на людей, знакомых с linux. А я не знакома совсем. В двух словах популярно кто-нить может объяснить что такое фоновый режим, как себя в нем ведет php-скрипт?

 

[Dovg]

А разве в винде нет "фонового режима"?
Там это службами зовется.

Только в никсах все проще

Грубый пример:

set_time_limit(0);
$exitFile = '/home/user/exit.txt';
while (true) {
  mail  ('[email protected]', 'must die'  ,'some text' );
  usleep(1000000);
  if (file_exists  ($exitFile))
     exit(0);
}

Этот скрипт раз в секунду будет отсылать почту, пока файл /home/user/exit.txt отсутствует.
Соответственно, чтобы скрипт завершил работу, достаточно создать этот файл.

Чтобы его запустить в фоновом режиме, надо сделать

php ./scriptName.php &

вместо

php ./scriptName.php